一、监管部门动向：全国网安标委就《网络安全技术 网络安全运维实施指南》等3项国家标准征求意见；中国社会科学院法学研究所等发布《人工智能示范法2.0（专家建议稿）》。

二、安全新闻：Google Firebase泄露1.25亿用户机密信息；SoumniBot恶意软件利用Android漏洞逃避检测。

三、漏洞播报：Apache Zeppelin 代码注入漏洞（CNNVD-202404-1218）；Aiohttp存在路径遍历漏洞（CVE-2024-23334）。

四、移动应用市场宏观情况：4月1日-4月22日期间，监管机构通报Android个人信息违规数量约130，移动应用市场共更新、上新移动应用约3万款。

 

 

 

监管部门动向

 

 

全国网安标委就《网络安全技术 网络安全运维实施指南》等3项国家标准征求意见

4月15日，全国网络安全标准化技术委员会公布《网络安全技术 网络安全运维实施指南》《网络安全技术 信息系统灾难恢复规范》《数据安全技术 政务数据处理安全要求》3项标准的征求意见稿，面向社会公开征求意见，意见征求截至2024年6月14日24:00。（来源：全国网安标委）

 

中国社会科学院法学研究所等发布《人工智能示范法2.0（专家建议稿）》

4月16日，中国社会科学院法学研究所等发布《人工智能示范法2.0（专家建议稿）》。《人工智能示范法2.0（专家建议稿）》在此前版本的基础上不断更新，将基于负面清单实施的人工智能许可管理制度与负面清单外人工智能活动的备案制度明确区分，避免过重合规负担影响人工智能产业的经营预期；重视人工智能开源发展，提出促进开源社区建设、制定专门合规指引、明确责任减免规则等支持措施；构建知识产权创新规则，在研发环节对训练数据、个人信息的使用作出专门安排，并针对人工智能生成物的成果保护与侵权认定进行规定。（来源：21财经）

 

 

 

 

安全新闻

 

 

 SoumniBot恶意软件利用Android漏洞逃避检测

一种名为“SoumniBot”的新安卓银行恶意软件利用安卓清单提取和解析过程中的弱点，使用了一种不太常见的混淆方法。该方法使SoumniBot能够规避安卓手机中的标准安全措施，并执行信息窃取操作。研究人员还指出，SoumniBot能够搜索和过滤韩国银行用于网上银行服务的数字证书。此功能允许威胁行为者利用银行凭证进行欺诈交易。

 

LightSpy卷土重来：更新的iOS间谍攻击苹果用户的智能手机

针对南亚用户的网络间谍活动再次出现。攻击的目标是用户引入新版本的LightSpy恶意软件。LightSpy的最新版本，称为‘F_Warehouse’，具有模块化结构，具有高级监视功能。这场恶意活动可能主要针对印度，因为该国向VirusTotal发送了大量副本。

 

Google Firebase泄露1.25亿用户机密信息

由于Google Firebase配置错误，至少有900个网站的敏感数据（包括用户的个人信息）在互联网上公开。总共发现了至少1.25亿个公开可用的用户记录。泄漏的数据包括未公开的支付信息和密码。

 

Trust Wallet 向 iOS 用户发出零日漏洞攻击警告

Trust Wallet 注意到 iOS 用户，称该漏洞将允许攻击者在不点击任何链接的情况下渗透到目标 iPhone。如果得到证实，该零日漏洞将类似于Pegasus 间谍软件，它可以渗透移动设备并监控通信。加密钱包提供商建议用户禁用 iMessages，“直到苹果修复此问题”。我们已经联系了苹果公司，但在发布之前没有收到回复。

 

 

 

漏洞播报

 

 

Apache Zeppelin 代码注入漏洞（CNNVD-202404-1218）

Apache Zeppelin是美国阿帕奇（Apache）基金会的一款基于Web的开源笔记本应用程序，该应用程序支持交互式数据分析和协作文档。Apache Zeppelin 0.11.0之前版本存在代码注入漏洞。攻击者利用该漏洞通过JDBC驱动程序连接MySQL数据库时可以注入恶意代码。

 

Aiohttp存在路径遍历漏洞（CVE-2024-23334）

近日，安全研究人员发现开源库Aiohttp存在路径遍历漏洞（CVE-2024-23334），是由 “follow_symlinks” 静态路由设置为“True”时验证不充分所导致，允许未经身份验证的攻击者访问目标服务器上根目录之外的用户文件。漏洞影响Aiohttp version < 3.9.1等版本，目前用户可通过版本升级修复上述漏洞。

 

Microsoft Windows Kernel 安全漏洞（CNNVD-202404-1173）

Microsoft Windows Kernel是美国微软（Microsoft）公司的Windows操作系统的内核。Microsoft Windows Kernel存在安全漏洞。攻击者利用该漏洞可以提升权限。

 

WordPress plugin Elementor Addon Elements 安全漏洞（CNNVD-202404-1244）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Elementor Addon Elements 1.13.2版本及之前版本存在安全漏洞，该漏洞源于对用户提供的输入清理和输出转义不足。攻击者利用该漏洞可以执行存储型跨站脚本攻击。

 

 

 

移动应用市场宏观情况

 

 

爱加密长期基于安全检测引擎，对应用进行107项漏洞扫描后存入爱加密大数据平台，周报中仅披露部分数据，可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露个人信息违规问题及移动应用市场情况。4月1日-4月22日期间，监管机构通报Android个人信息违规数量约130，其中主要违规问题是“未明示收集使用个人信息的目的、方式和范围”。

 

 

4月1日-4月22日期间，移动应用市场共更新、上新移动应用约3万款，其中ios占比最高，约50%。

 

作为国内知名的移动信息安全综合服务提供商，爱加密时刻关注我国的移动应用安全发展状况，致力于通过优质的核心技术服务监管部门及企业，从行业实践角度着手大力推动我国移动应用生态的良好发展。